Documentación de Oracle Cloud Infrastructure

Barandillas de acceso - Aplicación de restricciones de control de acceso preventivo

Las guías de acceso en Oracle Access Governance son restricciones de seguridad para definir y aplicar condiciones para regular y restringir el acceso a recursos confidenciales. Las guías de protección de acceso garantizan que solo las identidades autorizadas que cumplan los criterios predefinidos puedan obtener acceso. Si no se cumplen estas condiciones, se dispara una infracción, lo que le permite bloquear el acceso inmediatamente o proporcionar un período de gracia para el cumplimiento.

Descripción general

La implantación de guías de protección de acceso requiere que las identidades cumplan una condición predefinida, como ser propietario de un permiso de requisito previo o un atributo de identidad, antes de otorgar un permiso elevado. Este modelo en capas garantiza que los permisos se otorguen en una secuencia controlada, lo que hace que la gestión de acceso sea segura y compatible.

Las guías de acceso NO son aplicables cuando el aprovisionamiento se realiza mediante políticas de Oracle Access Governance. Utilice la funcionalidad de autoservicio Solicitar acceso de Oracle Access Governance para disparar Access Guardrails.

Las guías de seguridad de acceso ayudan a los administradores de seguridad a bloquear el acceso no autorizado asegurándose de que las solicitudes de acceso cumplen los criterios predefinidos antes del envío. También proporcionan a los aprobadores un contexto importante, lo que les permite tomar decisiones más informadas durante el proceso de aprobación.

Las guías de acceso también se pueden utilizar con recopilaciones de identidades. Esto permite a los administradores de control de acceso establecer medidas preventivas de control de acceso, lo que garantiza que solo las identidades autorizadas y conformes, las que cumplen los criterios predefinidos, sean miembros de una recopilación de identidades. Si no se cumplen estas condiciones, se produce una infracción y puede seleccionar bloquear el acceso inmediatamente o permitir un período de gracia para el cumplimiento.

Funciones Clave de Access Guardrails

  • Modelo de permisos en niveles: las guías de acceso ayudan a estructurar el acceso en niveles, empezando por los roles básicos, como Lector de base de datos, y avanzando a roles de privilegio superior solo cuando se cumplen las condiciones predefinidas. Con este enfoque, puede asegurarse de que solo se otorgan los derechos mínimos necesarios en cada nivel.
  • Previene la violación de la separación de funciones: las restricciones de seguridad en las guías de acceso actúan como una comprobación previa para bloquear el acceso que podría entrar en conflicto con los roles o las responsabilidades existentes. Por ejemplo, en Entra ID, un usuario que tiene asignado el rol User Administrator (Administrador de usuarios) y el Privileged Role Administrator (Administrador de roles con privilegios) puede crear usuarios nuevos de manera independiente y elevar sus propios permisos, lo que supone un riesgo.
  • Aplicación de Acceso Condicional: las guías de acceso requieren que los usuarios cumplan condiciones específicas, como el rol, la pertenencia a grupos, la ubicación, etc., y supervisen continuamente los cambios en estos atributos para permitir o bloquear el acceso.

Acceso al marco de flujo de barandas

Así es como funciona Access Guardrails en Oracle Access Governance.


Flujo de Barandillas de Acceso

  1. El administrador de control de acceso asocia la guía de acceso y el flujo de trabajo de aprobación con un paquete de acceso.
  2. Identity envía una solicitud para un grupo de acceso mediante la funcionalidad Solicitar acceso.
  3. La solicitud se valida con la barandilla de acceso. Esto es lo que puede suceder en función de las configuraciones de las barandillas:
    • Sin Violación: el aprobador toma decisiones basadas en el flujo de trabajo de aprobación.
    • Violaciones de alto riesgo: la solicitud falla y no se emite, lo que genera la infracción con el estado Bloqueado.
    • Violación de riesgo bajo: la solicitud se envía al aprobador con infracciones en el estado Aplazado. El aprobador toma la decisión de aprobar o rechazar la solicitud. Si se aprueba, la solicitud se otorga durante el número de días definido.

Ejemplo de Implantación de Access Guardrails

Escenario: para el sistema orquestado de Oracle Unified Directory (OUD), supongamos que antes de otorgar acceso al grupo AccessControlAdmins, desea comprobar previamente las siguientes condiciones:
  • Restrinja la concesión de acceso a las identidades que pertenecen a grupos en conflicto, como el grupo DirectoryUserAdmins.
  • Otorgando acceso solo al departamento de identidad que pertenece al departamento CorpIT.

A continuación, se muestra cómo definir las guías de acceso para el escenario específico:

Adición de detalles Name: oud-access-admin-check

Seleccione Solo solicitudes de acceso nuevas

Definir reglas para las guías de acceso Agregue dos condiciones, de la siguiente manera:
  1. Seleccione La identidad no debe tener un permiso y seleccione lo siguiente:
    • Qué sistema: oracle-unified-directory
    • Con el que se ha otorgado el permiso: Group
    • Qué permiso: DirectoryUserAdmins
  2. Seleccione La identidad coincide con un atributo y seleccione lo siguiente
    • Qué atributo: Department es igual a CorpIT
Acción en fallo Seleccione Riesgo alto: bloquear el acceso inmediatamente

Después de adjuntar una barandilla de acceso al paquete de acceso, la solicitud se validaría para estas condiciones. Si un usuario ya pertenece al grupo DirectoryUserAdmins o no forma parte de CorpIT, la solicitud no se enviará al aprobador y las infracciones se generarán con el estado bloqueado.